C# 针对恶意攻击的防御性编程

我工作的那家公司正在重新开发一种供外用的内部产品

该产品最初将使用WPF在C#中开发，然后移植到Silverlight

重点之一是针对恶意攻击（如SQL注入等）进行编码

问题:

有人能推荐指向安全“最佳实践”文章的URL吗

任何人都可以推荐一个分析工具来分析代码，以确定弱点。如果可能的话，我们希望在我们的持续集成脚本中包含该工具

---

我找到的最好的资源是：

在该站点中，我将从这里开始：

排名前十的是网站漏洞，但这些概念适用于所有类型的应用程序。在我个人看来，在学习安全编码的起点上，你真的做得再好不过了

该网站提供了最佳实践和工具，无论您的技能水平如何，都能让您真正理解所有内容

*已添加*

另一个很好的资源是MSDN文档，因为您的问题被标记为C

---

试试下面关于MSDN的文章：。

我想从安全开发开始意味着三个步骤：

识别并理解全局：可能出现的问题

这意味着了解漏洞的技术方面以及它如何帮助出错

通常，我会选择OWASP的前10个web应用程序安全漏洞（google:OWASP Top 10 2007）

如果你不明白，那么请寻求指导。理解这样的文档并不能直接告诉您如何构建安全代码，但它可以很好地指示您对安全开发的理解程度

找到能够实现安全发展的良好常规做法

虽然许多文档告诉您事情可能会出问题，但实际上很少有资源告诉您如何以一般方式避免这些问题

目前，我主要推荐以下资源：

• David Rook的“安全开发原则”（谷歌：David Rook安全开发原则）
• OWASP的前10个漏洞保护部分页面（每个条目都可以在前10个漏洞的在线版本上单击）

查找为您的技术量身定制的资源

访问用您所说的语言告诉您“如何做到这一点”的资源。通常，C#。MSDN门户为开发人员提供了许多安全检查表（）

最后，进入它：连接到关于应用程序安全的常规输入，查找博客，阅读新闻（使用一些漏洞名称或单词构建谷歌警报，如“应用程序安全”或“安全开发”），并查看发生了什么

希望能有帮助

某人

---

PS：很抱歉出现“谷歌”链接，我是一个新用户，只能在我的答案中发布一个url:（

文章指向了微软的安全网页[以及他们的SDL-plus测试工具。这正是我想要的。非常感谢！